Protéger l'intégrité numérique à l'ère des deepfakes et de la fraude identitaire

Les attaques médiatiques synthétisées par IA, plus communément appelées deepfakes, ont complètement bouleversé le paysage de la fraude, avec une augmentation de 3000% en 12 mois. Elles dominent les discussions sur ce qui pourrait ébranler l'intégrité et la confiance numériques dans les années à venir.

Les deepfakes deviennent rapidement la nouvelle tactique favorite des fraudeurs. L'accessibilité croissante à l'IA générative et aux applications de changement de visage permet aux cybercriminels d'augmenter significativement leurs tentatives de fraude par deepfake, en imitant l'expression faciale, la voix, le langage corporel, et même la texture de la peau d'une personne. Aussi sophistiquée que soit la technologie aujourd'hui, elle ne fera que continuer à évoluer et à devenir plus convaincante. Les tactiques de fraude en ligne sont comme un virus, se mutant pour échapper aux défenses cybernétiques et causer un maximum de dégâts.

C'est pourquoi les entreprises doivent toujours avoir un coup d'avance avec une stratégie de prévention robuste, capable d'identifier et de protéger contre les menaces émergentes, tout en assurant la sécurité des utilisateurs finaux et de leur business. En même temps, cette stratégie doit être nuancée et éviter de créer des frictions inutiles pour les utilisateurs légitimes souhaitant s'inscrire ou accéder à des services en ligne. Elle doit être conviviale et accessible. Atteindre cet objectif protégera l'intégrité numérique face à l'augmentation du vol d'identité et, cruciallement, maintiendra l'inclusion et la confiance dans les affaires en ligne.

Comment l'ère de l'automatisation a engendré la fraude par deepfake

Le paysage mondial de la fraude a considérablement changé ces dernières années, en ligne avec les tendances numériques plus larges – notamment l'accessibilité grand public à l'IA et aux outils d'automatisation. Avant la pandémie, un fraudeur suivait le modèle typique de la semaine de travail, avec une activité diminuant généralement le week-end. Mais ces habitudes ont changé, les fraudeurs ayant compris que l'IA et l'automatisation leur permettent d'étendre leurs attaques, 24h/24, pour toucher autant de cibles que possible. Cela signifie que des industries, historiquement confrontées à de hauts volumes de fraude en raison de grands incitatifs financiers, comme les jeux d'argent et les jeux vidéo, ont vu leurs taux de fraude grimper jusqu'à 80% l'année dernière.

Alors que les entreprises se sont mobilisées pour protéger leurs opérations contre ces vagues de fraude, les acteurs malveillants ont élargi leur bibliothèque d'options d'attaque. Alors que la plupart des fraudes identitaires sont toujours axées sur la production de contrefaçons d'ID physiques, les fraudeurs expérimentent avec l'IA pour modifier des images et vidéos digitales – créant des deepfakes – pour commettre des fraudes identitaires, contourner les systèmes de cybersécurité et développer du contenu médiatique en ligne faux.

Deepfakes contre cheap fakes : entrer dans le détail

Quand on pense aux deepfakes, on imagine souvent des vidéos sophistiquées montrant des imitations politiques ou de célébrités. Mais il est important de préciser que toutes les approches deepfake ne se valent pas, et les fraudeurs déploieront la technologie à différentes échelles, en fonction des ressources, des compétences techniques et des résultats souhaités. L'expression « cheap fakes » fait la différence – elles sont significativement moins sophistiquées que ce que l'on considérerait comme un deepfake typique. Pensez à un film à petit budget versus un blockbuster – même concept, exécution très différente. Connues également sous le nom de shallowfakes ou de faux de basse technologie, les cheap fakes utilisent des logiciels de montage vidéo basiques pour manipuler les images. Elles peuvent inclure des modifications mineures comme des changements de légende ou des recadrages d'image, mais elles sont beaucoup plus faciles à détecter, surtout pour un œil non averti, car elles manquent de réalisme.

Mais la menace qu'elles représentent ne doit pas être sous-estimée ; elles perpétuent toujours de grandes quantités de fraude identitaire. Particulièrement dans le climat économique difficile d'aujourd'hui, où beaucoup deviennent des fraudeurs amateurs, les cheap fakes sont la première option pour les hackers du dimanche armés d'un code malveillant de base. Les attaques peuvent encore être déployées en tandem avec de plus grandes corporations de fraude pour usurper l'identité de clients légitimes et voler des identités lors de l'onboarding ou de l'accès à des comptes existants. Elles peuvent aussi avoir d'autres utilisations, par exemple lancer une campagne de désinformation sur mesure qui pourrait atteindre et frauder de larges audiences, comme le deepfake de Martin Lewis avec une arnaque à l'investissement.

Une approche proactive de la détection des deepfakes

Sous n'importe quelle forme, les deepfakes peuvent perturber l'accès aux services en ligne, manipuler ou induire en erreur les gens, et démolir la réputation d'une entreprise, donc les entreprises doivent adopter une approche proactive pour atténuer la menace. Mais elles doivent trouver le bon niveau de friction – assurant que les clients puissent s'inscrire ou accéder aux services de manière fluide, tout en gardant les acteurs malveillants à l'extérieur.

Premièrement, les entreprises doivent s'entraîner et apprendre à repérer un deepfake, et il y a certains signes révélateurs à rechercher. Dans les vidéos, par exemple, l'IA n'a pas encore recréé le mouvement naturel des yeux et le clignement, et un regard plus attentif sur une personne deepfakée peut révéler des anomalies faciales et une passivité prolongée. Les vidéos échouent également souvent à synchroniser l'audio et l'image de manière transparente, donc les entreprises devraient suivre l'audio de près et observer la prononciation du locuteur et toute pause non naturelle pour des incohérences. Les couleurs et les ombres souffrent des mêmes lacunes, et une précision parfaite est rare. Les entreprises devraient chercher des ombres qui semblent déplacées, particulièrement quand la personne bouge, ou des couleurs qui changent.

Deuxièmement, les entreprises doivent investir dans leurs ressources de défense cybernétique. La fraude est un jeu du chat et de la souris, et les entreprises ont besoin du bon partenaire et de la bonne plateforme à bord pour renforcer leurs défenses et rester en tête. Comme les deepfakes sont généralement hébergés sur des navigateurs web plutôt que sur des applications natives à un système d'exploitation donné, les entreprises devraient chercher à intégrer une solution qui s'aligne avec les parcours clients natifs du web et détecte les vidéos pré-enregistrées, les émulateurs et les fausses webcams. Il y aura aussi des moments où l'IA devra référer des cas plus sensibles ou complexes pour examen, donc le bon investissement combinera la puissance de l'IA avec l'expertise humaine, pour une expérience de sécurité globale et complète. De cette manière, les clients ne sont pas rejetés à tort, et toute tentative de deepfake convaincante peut être identifiée par un expert formé.

Éviter l'iceberg

Il ne fait aucun doute que les deepfakes ont transformé la nature de la fraude identitaire dans le paysage numérique d'aujourd'hui. Opérant dans le grand public, les deepfakes posent une menace significative à la confiance et à l'intégrité numériques et ont le potentiel de déstabiliser la relation entre les clients et les entreprises en ligne. Les entreprises doivent passer à l'offensive, formant leurs équipes à repérer les tentatives de deepfake et investir dans des solutions sophistiquées d'IA et biométriques qui peuvent les garder un pas en avant. C'est ainsi qu'elles éviteront l'iceberg des deepfakes et se prépareront pour une croissance durable à long terme.